Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP5453871B2 - Event determination device, event determination program, and event determination method - Google Patents
[go: Go Back, main page]

JP5453871B2 - Event determination device, event determination program, and event determination method - Google Patents

Event determination device, event determination program, and event determination method Download PDF

Info

Publication number
JP5453871B2
JP5453871B2 JP2009079195A JP2009079195A JP5453871B2 JP 5453871 B2 JP5453871 B2 JP 5453871B2 JP 2009079195 A JP2009079195 A JP 2009079195A JP 2009079195 A JP2009079195 A JP 2009079195A JP 5453871 B2 JP5453871 B2 JP 5453871B2
Authority
JP
Japan
Prior art keywords
event
log
list
normal
events
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009079195A
Other languages
Japanese (ja)
Other versions
JP2010231568A (en
Inventor
幸洋 渡辺
安英 松本
邦昭 嶋田
裕二 和田
正純 松原
浩 大塚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2009079195A priority Critical patent/JP5453871B2/en
Publication of JP2010231568A publication Critical patent/JP2010231568A/en
Application granted granted Critical
Publication of JP5453871B2 publication Critical patent/JP5453871B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Description

システム構成機器から出力されるイベントに対し、正常イベントであるか異常イベントであるかを判別するイベント判別装置、イベント判別プログラム、イベント判別方法に関する。   The present invention relates to an event discriminating apparatus, an event discriminating program, and an event discriminating method for discriminating whether an event output from a system component device is a normal event or an abnormal event.

近年、運用されているシステムを構成する機器が出力するイベントを監視し、異常イベントが発生した場合にシステム管理者に通知するイベント監視システムが構築されている。   2. Description of the Related Art In recent years, an event monitoring system has been constructed that monitors an event output from a device that constitutes an operating system and notifies a system administrator when an abnormal event occurs.

イベント監視システムは、運用システムを構成する機器が出力するイベントについて、定義された障害パターンに一致するかを監視し、パターンに一致した場合、トラブルが発生したと判断して運用者に通知する。このようなイベントの監視を行うにあたって、障害パターンを事前に用意する必要がある。   The event monitoring system monitors whether an event output from a device constituting the operation system matches a defined failure pattern, and if it matches the pattern, determines that a trouble has occurred and notifies the operator. When monitoring such an event, it is necessary to prepare a failure pattern in advance.

図9を参照しつつ従来のイベント監視システムの障害パターンの抽出について説明する。   With reference to FIG. 9, the extraction of the failure pattern of the conventional event monitoring system will be described.

まず、事前準備として、システム構成機器から出力されるイベントに対し、例えばCPUに関するイベント、メモリに関するイベント等の分類作業がなされる。この分類作業は、システム開発者の手動によって行われるか、若しくはイベントに付されたイベントIDに基づき機械的に分類される。   First, as an advance preparation, classification operations such as an event related to a CPU and an event related to a memory are performed on an event output from a system component device. This classification operation is performed manually by the system developer or mechanically classified based on an event ID attached to the event.

次に、分類されたイベントごとに、システム管理者が正常と思われるイベントを抽出し、抽出された正常と思われるイベントをイベント監視装置に登録する。イベント監視装置には、過去に発生したイベントが過去事例として登録されているDB(データベース)を有しており、登録された正常と思われるイベントで、DB内の過去のイベントに対しフィルタをかけることで、正常でないイベント(すなわち異常イベント)を抽出する。   Next, for each classified event, the system administrator extracts an event that seems to be normal, and registers the extracted event that seems to be normal in the event monitoring apparatus. The event monitoring device has a DB (database) in which events that occurred in the past are registered as past cases, and filters past events in the DB with registered events that appear to be normal Thus, an abnormal event (that is, an abnormal event) is extracted.

逆に、システム管理者が異常と思われるイベントを抽出し、当該異常と思われるイベントで過去事例に対しフィルタをかけることで、正常イベントを抽出することも可能である。   Conversely, it is also possible to extract normal events by extracting events that are considered abnormal by the system administrator and filtering past events with the events that are considered abnormal.

また、関連のある技術として、以下の文献が開示されている。   Further, the following documents are disclosed as related techniques.

特開2008−41041号広報JP 2008-41041 A

監視対象となるシステムは、システム規模増大に伴い、新種のトラブルも発生する。よって、システム管理者は、イベントを見ても正常イベントかどうか分からないケースが発生している。   In the system to be monitored, a new type of trouble also occurs as the system scale increases. Therefore, there is a case where the system administrator does not know whether the event is a normal event even when viewing the event.

また、トラブル発生を示すイベントパターンを作成するのに時間とコストがかかり、迅速に対応することができない。このことは初動対応の遅れにつながり、システム復旧の遅延の原因となる。   In addition, it takes time and cost to create an event pattern indicating the occurrence of a trouble, and it is impossible to respond quickly. This leads to a delay in the initial response and causes a delay in system recovery.

さらに、正常イベントであるか異常イベントであるかは、担当者の恣意的な基準に依存しており、また正常イベントか異常イベントかの判断も、システムの挙動について詳細な知識がないと曖昧になる。またその選択する作業に手間がかかる。   Furthermore, whether it is a normal event or an abnormal event depends on the arbitrary criteria of the person in charge, and the determination of whether it is a normal event or an abnormal event is ambiguous if there is no detailed knowledge of system behavior Become. Moreover, it takes time to select the work.

本発明は上述した問題点を解決するためになされたものであり、イベントの判別をイベントログのみで自動で行うことができるイベント判別装置、イベント判別プログラム、イベント判別方法を提供することを目的とする。   The present invention has been made to solve the above-described problems, and it is an object of the present invention to provide an event determination device, an event determination program, and an event determination method that can automatically determine an event using only an event log. To do.

イベント判別装置は、所定期間内のイベントログから、該所定期間内で発生したイベントの一覧を作成するイベント一覧作成部と、前記イベント一覧作成部によって作成された一覧内のイベントに対応するログが全て取得されるまで、前記所定期間内の最新日時を出発点として、過去にさかのぼりながら前記イベントログ内のログを取得し、前記一覧内のイベント全てが取得された時点のログよりも過去のログに対応する、前記一覧内のイベントを正常イベントとして設定する正常イベント抽出部と、を備える。   The event determination device includes an event list creation unit that creates a list of events that occurred within the predetermined period from an event log within a predetermined period, and a log that corresponds to the events in the list created by the event list creation unit. Until all are acquired, the latest date and time within the predetermined period is used as a starting point, the log in the event log is acquired while going back in the past, and the log at the past is more than the log at the time when all the events in the list are acquired And a normal event extracting unit that sets the events in the list as normal events.

イベント判別プログラムは、所定期間内のイベントログから、該所定期間内で発生したイベントの一覧を作成し、作成された一覧内のイベントに対応するログが全て取得されるまで、前記所定期間内の最新日時を出発点として、過去にさかのぼりながら前記イベントログ内のログを取得し、前記一覧内のイベント全てが取得された時点のログよりも過去のログに対応する、前記一覧内のイベントを正常イベントとして設定する処理をコンピュータに実行させる。   The event determination program creates a list of events that occurred within the predetermined period from event logs within the predetermined period, and until all logs corresponding to the events in the created list are acquired, Starting from the latest date and time, the log in the event log is acquired while going back in the past, and the events in the list corresponding to the past log are more normal than the logs at the time when all the events in the list are acquired. Causes a computer to execute a process set as an event.

イベント判別方法は、所定期間内のイベントログから、該所定期間内で発生したイベントの一覧を作成し、作成された一覧内のイベントに対応するログが全て取得されるまで、前記所定期間内の最新日時を出発点として、過去にさかのぼりながら前記イベントログ内のログを取得し、前記一覧内のイベント全てが取得された時点のログよりも過去のログに対応する、前記一覧内のイベントを正常イベントとして設定する処理をコンピュータが実行する。   The event determination method creates a list of events that occurred within the predetermined period from event logs within the predetermined period, and acquires all the logs corresponding to the events in the created list until the logs within the predetermined period are acquired. Starting from the latest date and time, the log in the event log is acquired while going back in the past, and the events in the list corresponding to the past log are more normal than the logs at the time when all the events in the list are acquired. The computer executes a process to set as an event.

システム管理者の判断その他の外部からの追加情報なしで、イベントログのみで正常イベントかを判別することができ、作業時間、作業コストが軽減される。   Without the system administrator's judgment and other external additional information, it is possible to determine whether the event is a normal event by using only the event log, thereby reducing work time and work cost.

従来のイベント監視システムにおける、本実施の形態のイベント判別装置が担う処理範囲を示す図である。It is a figure which shows the processing range which the event discrimination device of this Embodiment bears in the conventional event monitoring system. 本実施の形態に係るイベント判別装置の特徴的な機能を示す図である。It is a figure which shows the characteristic function of the event determination apparatus which concerns on this Embodiment. 本実施の形態に係るイベント判別装置の機能ブロックの一例を示す図である。It is a figure which shows an example of the functional block of the event determination apparatus which concerns on this Embodiment. 本実施の形態に係るイベント判別手法の着目点について説明するための図である。It is a figure for demonstrating the point of interest of the event determination method which concerns on this Embodiment. 本実施の形態に係るイベント判別手法の内容の一例を説明するための図である。It is a figure for demonstrating an example of the content of the event determination method which concerns on this Embodiment. 本実施の形態に係るイベント判別装置の動作の一例を示すフローチャートである。It is a flowchart which shows an example of operation | movement of the event determination apparatus which concerns on this Embodiment. 本実施の形態に係るイベント判別装置のハードウェア構成の一例を示す図である。It is a figure which shows an example of the hardware constitutions of the event determination apparatus which concerns on this Embodiment. 本実施の形態に係るイベント判別装置内部のハードウェア構成の一例を示す図である。It is a figure which shows an example of the hardware constitutions inside the event discrimination device which concerns on this Embodiment. 従来のイベント判別手法の例を示す図である。It is a figure which shows the example of the conventional event discrimination method.

図1に、従来のイベント監視システムにおける、本実施の形態のイベント判別装置が担う処理範囲を示す。本実施の形態のイベント判別装置は、図1の破線で囲まれた処理を実施する。すなわち、本実施の形態のイベント判別装置は、パターン検知機能が使用する異常イベントであって、運用担当者やシステム管理者に通知される異常イベントのパターンを、過去に発生したイベント事例から抽出する処理を行う。   FIG. 1 shows the processing range of the event discriminating apparatus according to the present embodiment in a conventional event monitoring system. The event discriminating apparatus according to the present embodiment performs a process surrounded by a broken line in FIG. In other words, the event determination apparatus according to the present embodiment extracts abnormal event patterns that are abnormal events used by the pattern detection function and are notified to the person in charge of operation and the system administrator from event cases that occurred in the past. Process.

尚、イベントとは、機器に生じた事象を意味し、イベントが発生した機器は、自ら有する記憶装置または外部にログとして出力するか、または外部へトラップとして通知する。また、外部からの問いかけ(ポーリング)によって、自己の状態を通知する機能を有する機器もある。イベント監視システムは、これらログ出力、トラップ、ポーリング結果をイベント発生日時とともに過去事例として記憶部に蓄積する。以下、イベントが上述手段その他の何かしらの手段で通知、または取得されたデータを、イベントログまたは単にログと称す。このイベントログには、当該イベントが発生した日時を伴ったデータであるものとする。   Note that an event means an event that has occurred in a device, and the device in which the event has occurred outputs it as a log to the storage device it owns or to the outside, or notifies it to the outside as a trap. In addition, there is a device having a function of notifying its own state by an external inquiry (polling). The event monitoring system accumulates these log outputs, traps, and polling results in the storage unit together with event occurrence dates and times as past cases. Hereinafter, data in which an event is notified or acquired by the above-described means or some other means is referred to as an event log or simply a log. This event log is data with the date and time when the event occurred.

次に、図2に基づき、本実施の形態に係るイベント判別装置の特徴的な機能について説明する。イベント判別装置100は、たとえばCPUに関するイベント、メモリに関するイベント等に分類されたイベントに対し、正常時のイベントか異常時のイベントかを判別する機能部を有する。   Next, a characteristic function of the event determination apparatus according to the present embodiment will be described with reference to FIG. The event discriminating apparatus 100 has a function unit that discriminates between a normal event and an abnormal event with respect to events classified into, for example, an event related to a CPU and an event related to a memory.

イベント判別装置100は、例えばシステム管理者の判断その他の外部からの追加情報なしで、過去に発生したイベントログのみによって正常イベントか異常イベントかを判定することができる。   The event determination apparatus 100 can determine whether the event is a normal event or an abnormal event based on only an event log that has occurred in the past, for example, without determination by the system administrator or other additional information from the outside.

図3に、イベント判別装置100の機能ブロックを示す。イベント判別装置100は、イベント範囲抽出部1(イベント一覧作成部)、正常イベント抽出部2、異常イベント抽出部3を備える。   FIG. 3 shows functional blocks of the event determination device 100. The event determination device 100 includes an event range extraction unit 1 (event list creation unit), a normal event extraction unit 2 and an abnormal event extraction unit 3.

イベント範囲抽出部1は、所定期間内のイベントログから、その所定期間内で発生したイベントの一覧であるイベント種別テーブル50を作成する。   The event range extraction unit 1 creates an event type table 50 that is a list of events that have occurred within the predetermined period from the event log within the predetermined period.

正常イベント抽出部2は、イベント範囲抽出部1によって作成されたイベント種別テーブル50内のイベントに対応するログが全て取得されるまで、上述の所定期間内の最新日時を出発点として、過去にさかのぼりながらイベントログ内のログを取得し、イベント種別テーブル50内のイベント全てが取得された時点のログよりも過去のログに対応する、イベント種別テーブル50内のイベントを正常イベントとして設定する。   The normal event extraction unit 2 goes back to the past starting from the latest date and time within the predetermined period until all the logs corresponding to the events in the event type table 50 created by the event range extraction unit 1 are acquired. On the other hand, the log in the event log is acquired, and the event in the event type table 50 corresponding to the log before the time when all the events in the event type table 50 are acquired is set as a normal event.

異常イベント抽出部3は、正常イベント抽出部2によって正常イベントと設定されたイベント以外のイベント種別テーブル50内のイベントを異常イベントとして設定する。   The abnormal event extraction unit 3 sets an event in the event type table 50 other than the event set as a normal event by the normal event extraction unit 2 as an abnormal event.

次に、図4を参照しつつ本実施の形態に係るイベント判別手法の着目点について説明する。図4は、横軸を時間軸としたイベントの発生順を示しており、右方向に進むほど新しいイベントとなる。   Next, points of interest of the event determination method according to the present embodiment will be described with reference to FIG. FIG. 4 shows the order of occurrence of events with the horizontal axis as the time axis.

イベント判別装置100では、以下の点に着目することで、正常時、および異常時に出力されたイベントが混在した状態で記録されているイベントログから、正常時と異常時のイベントを判別することを可能にする。
・正常時のイベントは、システムが正常な時、異常な時のどちらでも出力され得る。
・異常時のイベントは、システムが正常な時には出力されない。すなわち異常時のイベントは、システムに障害が発生した後のみで出力される。
The event discriminating apparatus 100 discriminates between normal and abnormal events from an event log recorded in a mixed state of events output at normal time and abnormal time by paying attention to the following points. to enable.
-Normal events can be output when the system is normal or abnormal.
-An abnormal event is not output when the system is normal. In other words, an abnormal event is output only after a failure occurs in the system.

A、B、Cを正常イベント、O、P、Qを異常イベントとすると、図4の例によれば、対象機器が正常なときには、正常状態であるがゆえにO、P、Qの異常イベントは発生せず、正常イベントであるA、B、Cのみが発生する。ここで、対象機器上でトラブルが発生した場合、それ以降はO、P、Qの異常イベントおよび正常イベントであるA、B、Cが発生する。   If A, B, and C are normal events, and O, P, and Q are abnormal events, according to the example of FIG. 4, when the target device is normal, the abnormal events of O, P, and Q are normal. Only normal events A, B, and C occur without occurring. Here, when a trouble occurs on the target device, O, P, and Q abnormal events and normal events A, B, and C occur thereafter.

上記着目点に基づき、図5を参照しつつ本実施の形態のイベント判別手法について説明する。図5は、正常時と異常時のイベントが混在している例を示したものである。A、B、Cは図4と同様に正常時のイベントであり、O、P、Qは異常時のイベントであるとする。   Based on the above points of interest, the event determination method of the present embodiment will be described with reference to FIG. FIG. 5 shows an example in which normal and abnormal events are mixed. As in FIG. 4, A, B, and C are normal events, and O, P, and Q are abnormal events.

また、図5(A)、(C)、(E)は、図4と同様に横軸を時間軸としたイベントの発生順を示しており、右方向に進むほど新しいイベントとなる。また本例では、「最新」と矢印で示された点は、イベントの内容を調べた日時とする。   5A, 5C, and 5E show the order of occurrence of events with the horizontal axis as the time axis, as in FIG. 4, and new events become more advanced in the right direction. In this example, the point indicated by the arrow “latest” is the date and time when the contents of the event were examined.

上述の説明とおり、システムが正常であるとき、イベントログには正常時のイベントA、B、Cしか記録されない。ある時刻でトラブルが発生したとすると、その日時以降、イベントログには異常時のイベントO、P、Qが記録される。   As described above, when the system is normal, only normal events A, B, and C are recorded in the event log. If a trouble occurs at a certain time, events O, P, and Q at the time of abnormality are recorded in the event log after that date and time.

図5(A)に初期状態を示す。初期状態では、ログ全体が読み込まれる。初期状態では、どのイベントが正常時のイベントで、どのイベントが異常時のイベントかは、まだ分かっていない。   FIG. 5A shows an initial state. In the initial state, the entire log is read. In the initial state, it is not yet known which event is a normal event and which event is an abnormal event.

次にイベント範囲抽出部1は、出現しているイベントの種類を、一覧にしてイベント種別テーブル50を作成する。この時点で作成されるイベント種別テーブル50を図5(B)に示す。イベント種別テーブル50は、イベントの内容(イベント)ごとに、そのイベントが判別の過程でイベントログ内に出現したかを示すフラグ(出現)、および、そのイベントが判別の過程で正常、異常のどちらに判別されたかを示すフラグ(種類)の各データを有する。図5(B)で示した状態では、出現フラグはFalse、種類フラグはUnknownとなる。   Next, the event range extraction unit 1 creates an event type table 50 by listing the types of events that have appeared. An event type table 50 created at this time is shown in FIG. The event type table 50 includes, for each event content (event), a flag (appearance) indicating whether the event has appeared in the event log during the determination process, and whether the event is normal or abnormal during the determination process. Each data of a flag (type) indicating whether or not is determined. In the state shown in FIG. 5B, the appearance flag is False and the type flag is Unknown.

正常イベント抽出部2は、最新時刻を出発点として、ログを過去方向にさかのぼりながら、イベントごとに以下を行う(図5(C)参照)。
・観察されたイベントについて、イベント種別テーブル50の該当するイベントの出現フラグをTrueに変更する。
・イベント種別テーブル50内の全てのイベントについて、出現フラグがTrueであるか判定する。
The normal event extraction unit 2 performs the following for each event while tracing the log in the past direction starting from the latest time (see FIG. 5C).
For the observed event, change the appearance flag of the corresponding event in the event type table 50 to True.
Determine whether the appearance flag is true for all events in the event type table 50.

図5(D)に、最新日時から過去にさかのぼった日時t0までのイベントに対し、処理が行われたときのイベント種別テーブル50の状態を示す。正常イベント抽出部2は、全てのイベントの出現フラグがTrueとなるまで上記処理が繰り返される。   FIG. 5D shows the state of the event type table 50 when processing is performed for events from the latest date and time to the date and time t0 going back in the past. The normal event extraction unit 2 repeats the above process until the appearance flags of all events become True.

正常イベント抽出部2は、全てのイベントの出現フラグがTrueになったら、さらにログを過去方向にさかのぼりながら、観察されたイベントについて、イベント種別テーブル50の該当するイベントの、種類フラグを正常に変更する(図5(E)参照)。すなわち、正常イベント抽出部2は、全てのイベントの出現フラグがTrueになったら、それ以前のイベントを正常イベントとする。   When the occurrence flag of all events becomes true, the normal event extraction unit 2 further changes the type flag of the corresponding event in the event type table 50 for the observed event while further tracing the log in the past direction. (See FIG. 5E). That is, when the appearance flag of all events becomes true, the normal event extraction unit 2 sets the previous event as a normal event.

異常イベント抽出部3は、正常イベント抽出部2による処理が完了した後に、イベント種別テーブル50のうち、種類フラグがUnknownのままになっているイベントについて、種類フラグを異常に変更する。   The abnormal event extraction unit 3 changes the type flag to abnormal for an event whose type flag remains “Unknown” in the event type table 50 after the processing by the normal event extraction unit 2 is completed.

正常イベント抽出部2、および異常イベント抽出部3の処理後のイベント種別テーブル50を図5(F)に示す。以上で、全てのイベントについて、正常と異常の判別が完了する。   FIG. 5F shows the event type table 50 after processing by the normal event extraction unit 2 and the abnormal event extraction unit 3. This completes the discrimination between normal and abnormal for all events.

次に、イベント判別装置100の動作について、図6のフローチャートを参照しつつ説明する。   Next, the operation of the event determination apparatus 100 will be described with reference to the flowchart of FIG.

イベント範囲抽出部1は、イベント種別テーブル50を作成(初期化)する(S1)。イベント範囲抽出部1は、イベントログからログを1つ取り出し(S2)、ログの終端に到達したかを判別する(S3)。ここで、ログの終端に到達していない場合(S3、N)、イベント範囲抽出部1は、イベント種別テーブル50を参照し(S4)、取り出したイベントが既にイベント種別テーブル50内に存在するイベントであるかを判定する(S5)、ここで取り出したログがイベント種別テーブル50内に存在するイベントである場合(S5、Y)、処理はS2に戻り、イベント種別テーブル50内に存在するイベントで無い場合(S5、N)、イベント範囲抽出部1は、イベント種別テーブル50に出現フラグ=false、状態フラグ=Unknownとして当該取り出したイベントを追加する(S6)。追加後、処理はS2に戻る。   The event range extraction unit 1 creates (initializes) the event type table 50 (S1). The event range extraction unit 1 extracts one log from the event log (S2), and determines whether the end of the log has been reached (S3). If the end of the log has not been reached (S3, N), the event range extraction unit 1 refers to the event type table 50 (S4), and the event for which the extracted event already exists in the event type table 50 If the log extracted here is an event existing in the event type table 50 (S5, Y), the process returns to S2 and is an event existing in the event type table 50. When there is no event (S5, N), the event range extraction unit 1 adds the extracted event as an appearance flag = false and a status flag = Unknown to the event type table 50 (S6). After the addition, the process returns to S2.

S3の処理において、ログの終端に到達したと判定された場合(S3、Y)、正常イベント抽出部2は、最新のログを一つイベントログより取り出す(S7)。正常イベント抽出部2は、イベントログの終端に達したかを判定し(S8)、終端に達している場合(S8、Y)、処理は終了する。   In the process of S3, when it is determined that the end of the log has been reached (S3, Y), the normal event extraction unit 2 extracts the latest log from the event log (S7). The normal event extraction unit 2 determines whether the end of the event log has been reached (S8), and if the end has been reached (S8, Y), the process ends.

終端に達していない場合(S8、N)、イベント種別テーブル50の該当するイベントに対し、出現フラグ=trueにする(S9)。正常イベント抽出部2は、全てのイベントの出現フラグがtrueかを判定し(S10)、全ての出現フラグがtrueでない場合(S10、N)、処理はS7に戻り、次のログに対し引き続き処理が続行される。一方、全ての出現フラグがtrueである場合(S10、Y)、正常イベント抽出部2は、イベント種別テーブル50内の、これより前のログに対応するイベントに対し状態フラグ=正常に設定する(S11)。   If the end has not been reached (N in S8), the appearance flag is set to true for the corresponding event in the event type table 50 (S9). The normal event extraction unit 2 determines whether the appearance flags of all events are true (S10). If all the appearance flags are not true (S10, N), the process returns to S7 and continues to the next log. Will continue. On the other hand, when all the appearance flags are true (S10, Y), the normal event extraction unit 2 sets the status flag = normal for the event corresponding to the previous log in the event type table 50 ( S11).

異常イベント抽出部3は、イベント種別テーブル50内の残りのイベント(状態フラグ=正常でないイベント)について、状態=異常に設定する。   The abnormal event extraction unit 3 sets the state = abnormal for the remaining events (status flag = unusual event) in the event type table 50.

尚、既存のパターン検知機能部は、状態フラグが異常と設定されたイベントが機器より出力された場合に運用担当者やシステム管理者へ通知する。   Note that the existing pattern detection function unit notifies the operation staff and the system administrator when an event whose status flag is set to abnormal is output from the device.

上述の例では、イベントログの内容を調べた時刻からログ終端までの全てのログを処理範囲としているが、イベント判別装置100は、任意に指定された日時を範囲として処理を行うこともできる。すなわち、イベント範囲抽出部1は、少なくとも過去にイベントが発生している時点から、任意の日時前までのログを処理範囲としてもよい。   In the above example, all the logs from the time when the contents of the event log are examined to the end of the log are set as the processing range. However, the event determination apparatus 100 can also perform processing within the arbitrarily designated date and time. That is, the event range extraction unit 1 may set a log as a processing range at least from the time when an event has occurred in the past to an arbitrary date and time.

本実施の形態のイベント判別装置100は、CPUに関するイベント、メモリに関するイベント等に分類された後に処理を行うものとしたが、分類されていなくても当然適用可能である。   The event discriminating apparatus 100 according to the present embodiment performs processing after being classified into an event related to a CPU, an event related to a memory, and the like, but it is naturally applicable even if it is not classified.

なお、本発明は以下に示すようなコンピュータシステムにおいて適用可能である。図7は、本発明が適用されるコンピュータシステムの一例を示す図である。この図に示すコンピュータシステム900は、CPUやディスクドライブ等を内蔵した本体部901、本体部901からの指示により画像を表示するディスプレイ902、コンピュータシステム900に種々の情報を入力するためのキーボード903、ディスプレイ902の表示画面902a上の任意の位置を指定するマウス904及び外部のデータベース等にアクセスして他のコンピュータシステムに記憶されているプログラム等をダウンロードする通信装置905を有する。通信装置905は、ネットワーク通信カード、モデムなどが考えられる。   The present invention can be applied to the following computer system. FIG. 7 is a diagram illustrating an example of a computer system to which the present invention is applied. A computer system 900 shown in this figure includes a main body 901 incorporating a CPU, a disk drive, and the like, a display 902 that displays an image according to an instruction from the main body 901, a keyboard 903 for inputting various information to the computer system 900, A mouse 904 for designating an arbitrary position on the display screen 902a of the display 902 and a communication device 905 for accessing an external database or the like and downloading a program or the like stored in another computer system are provided. The communication device 905 may be a network communication card, a modem, or the like.

上述したような、イベント判別装置を構成するコンピュータシステムにおいて上述した各ステップを実行させるプログラムを、イベント判別プログラムとして提供することができる。このプログラムは、コンピュータシステムにより読み取り可能な記録媒体に記憶させることによって、イベント判別装置のコンピュータシステムに実行させることが可能となる。上述した各ステップを実行するプログラムは、ディスク910等の可搬型記録媒体に格納されるか、通信装置905により他のコンピュータシステムの記録媒体906からダウンロードされる。また、コンピュータシステム900に少なくともイベント判別機能を持たせるイベント判別プログラムは、コンピュータシステム900に入力されてコンパイルされる。このプログラムは、コンピュータシステム900を、イベント判別機能を有するイベント判別システムとして動作させる。また、このプログラムは、例えばディスク910等のコンピュータ読み取り可能な記録媒体に格納されていても良い。ここで、コンピュータシステム900により読み取り可能な記録媒体としては、ROMやRAM等のコンピュータに内部実装される内部記憶装置、ディスク910やフレキシブルディスク、DVDディスク、光磁気ディスク、ICカード等の可搬型記憶媒体や、コンピュータプログラムを保持するデータベース、或いは、他のコンピュータシステム並びにそのデータベースや、通信装置905のような通信手段を介して接続されるコンピュータシステムでアクセス可能な各種記録媒体を含む。   A program that executes the above-described steps in the computer system that constitutes the event determination apparatus as described above can be provided as an event determination program. This program can be executed by the computer system of the event discriminating apparatus by storing it in a recording medium readable by the computer system. A program for executing the above steps is stored in a portable recording medium such as a disk 910 or downloaded from a recording medium 906 of another computer system by the communication device 905. In addition, an event determination program that causes the computer system 900 to have at least an event determination function is input to the computer system 900 and compiled. This program causes the computer system 900 to operate as an event determination system having an event determination function. Further, this program may be stored in a computer-readable recording medium such as a disk 910, for example. Here, examples of the recording medium readable by the computer system 900 include an internal storage device such as a ROM and a RAM, a portable storage such as a disk 910, a flexible disk, a DVD disk, a magneto-optical disk, and an IC card. It includes a medium, a database holding a computer program, or other computer systems and the database, and various recording media accessible by a computer system connected via communication means such as a communication device 905.

ここで、上述のイベント判別装置のハードウェア構成について図8を参照しつつ説明する。イベント判別装置は、演算処理装置であるCPU951、主記憶装置であるメモリ952、ディスク910等を格納し、データの読み書きを行うディスクドライブ953、不揮発性の記憶装置である不揮発性記憶装置954を備え、また外部とのデータの通信を制御するI/O装置955を備える。尚、上述したイベント判別装置内の各機能ブロックは、CPU951、メモリ952、不揮発性記憶装置954、I/O装置955のハードウェア資源と、不揮発性記憶装置954内に予め保持されているソフトウェアとが協働することで実現される。   Here, the hardware configuration of the event discriminating apparatus will be described with reference to FIG. The event determination device includes a CPU 951 that is an arithmetic processing device, a memory 952 that is a main storage device, a disk 910, and the like, a disk drive 953 that reads and writes data, and a nonvolatile storage device 954 that is a nonvolatile storage device. And an I / O device 955 for controlling data communication with the outside. Note that each function block in the event discriminating apparatus described above includes CPU 951, memory 952, nonvolatile storage device 954, I / O device 955 hardware resources, software stored in the nonvolatile storage device 954 in advance. Is realized through collaboration.

本発明は、その精神または主要な特徴から逸脱することなく、他の様々な形で実施することができる。そのため、前述の実施の形態は、あらゆる点で単なる例示に過ぎず、限定的に解釈してはならない。本発明の範囲は、特許請求の範囲によって示すものであって、明細書本文には、何ら拘束されない。更に、特許請求の範囲の均等範囲に属する全ての変形、様々な改良、代替および改質は、全て本発明の範囲内のものである。   The present invention can be implemented in various other forms without departing from the spirit or main features thereof. Therefore, the above-described embodiment is merely an example in all respects and should not be interpreted in a limited manner. The scope of the present invention is shown by the scope of claims, and is not restricted by the text of the specification. Moreover, all modifications, various improvements, substitutions and modifications belonging to the equivalent scope of the claims are all within the scope of the present invention.

1 イベント範囲抽出部、2 正常イベント抽出部、3 異常イベント抽出部、50 イベント種別テーブル、100 イベント判別装置。   1 event range extraction unit, 2 normal event extraction unit, 3 abnormal event extraction unit, 50 event type table, 100 event discrimination device.

Claims (5)

所定期間内のイベントログから、該所定期間内で発生したイベントの種類の一覧を作成するイベント一覧作成部と、
前記イベント一覧作成部によって作成された一覧内のイベントの種類が全て出現するまで、前記所定期間内の最新日時を出発点として、過去にさかのぼりながら前記イベントログ内のログを取得し、前記一覧内のイベントの種類が全て出現した時点のログよりも過去のログに対応する、前記一覧内のイベントの種類を正常イベントとして設定する正常イベント抽出部と、
を備えるイベント判別装置。
An event list creation unit that creates a list of types of events that occurred within the predetermined period from an event log within the predetermined period;
Until you appear all kinds of events in the list that was created by the event list generation unit, as a starting point the latest date and time within the predetermined period of time, to get the log of the in the event log while dates back to the past, the list A normal event extraction unit that sets the event type in the list as a normal event corresponding to a past log rather than a log at the time when all of the event types appear in the list,
An event determination device comprising:
請求項1に記載のイベント判別装置において、さらに、
前記正常イベント抽出部によって正常イベントと設定されたイベントの種類以外の前記一覧内のイベントの種類を異常イベントとして設定する異常イベント抽出部を備えることを特徴とするイベント判別装置。
The event discriminating apparatus according to claim 1, further comprising:
An event discriminating apparatus comprising: an abnormal event extraction unit that sets an event type in the list other than the event type set as a normal event by the normal event extraction unit as an abnormal event.
請求項1に記載のイベント判別装置において、
前記イベント一覧作成部は、
所定期間内で発生したイベントの種類ごとに、出現フラグ、種類フラグを有する一覧を作成し、
前記正常イベント抽出部は、前記一覧内に現在処理しているログに対応するイベントの種類がある場合に前記一覧内の該当するイベントの種類の出現フラグを出現旨のフラグに設定し、前記一覧内のイベントの種類全ての出現フラグが出現旨のフラグに設定された場合、前記イベントログのうちの現在処理しているログよりも過去のログに対応する前記一覧内のイベントの種類の、種類フラグを正常旨のフラグに設定することを特徴とするイベント判別装置。
In the event discrimination device according to claim 1,
The event list creation unit
Create a list with appearance flags and type flags for each type of event that occurred within a given period,
The normal event extraction unit sets an appearance flag of the corresponding event type in the list as an appearance flag when there is an event type corresponding to the log currently processed in the list, and the list If the event type all occurrences flag of the inner is set in the flag of the appearance effect, the event types in the list currently it is processing than log corresponding to the last log of the event log, type An event discriminating apparatus characterized in that a flag is set to a normal flag.
所定期間内のイベントログから、該所定期間内で発生したイベントの種類の一覧を作成し、
作成された一覧内のイベントの種類が全て出現するまで、前記所定期間内の最新日時を出発点として、過去にさかのぼりながら前記イベントログ内のログを取得し、
前記一覧内のイベントの種類が全て出現した時点のログよりも過去のログに対応する、前記一覧内のイベントの種類を正常イベントとして設定する処理をコンピュータに実行させるイベント判別プログラム。
Create a list of event types that occurred within the specified period from the event log within the specified period,
Until you appear all kinds of events in the created list as a starting point the latest date and time within the predetermined period of time, to get the log of the in the event log while dates back to the past,
An event determination program for causing a computer to execute a process of setting an event type in the list as a normal event, which corresponds to a past log rather than a log at the time when all the event types in the list appear .
所定期間内のイベントログから、該所定期間内で発生したイベントの種類の一覧を作成し、
作成された一覧内のイベントの種類が全て出現するまで、前記所定期間内の最新日時を出発点として、過去にさかのぼりながら前記イベントログ内のログを取得し、
前記一覧内のイベントの種類が全て出現した時点のログよりも過去のログに対応する、前記一覧内のイベントの種類を正常イベントとして設定する処理をコンピュータが実行するイベント判別方法。
Create a list of event types that occurred within the specified period from the event log within the specified period,
Until you appear all kinds of events in the created list as a starting point the latest date and time within the predetermined period of time, to get the log of the in the event log while dates back to the past,
An event determination method in which a computer executes a process of setting an event type in the list as a normal event, which corresponds to a past log rather than a log at the time when all of the event types in the list appear .
JP2009079195A 2009-03-27 2009-03-27 Event determination device, event determination program, and event determination method Expired - Fee Related JP5453871B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009079195A JP5453871B2 (en) 2009-03-27 2009-03-27 Event determination device, event determination program, and event determination method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009079195A JP5453871B2 (en) 2009-03-27 2009-03-27 Event determination device, event determination program, and event determination method

Publications (2)

Publication Number Publication Date
JP2010231568A JP2010231568A (en) 2010-10-14
JP5453871B2 true JP5453871B2 (en) 2014-03-26

Family

ID=43047309

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009079195A Expired - Fee Related JP5453871B2 (en) 2009-03-27 2009-03-27 Event determination device, event determination program, and event determination method

Country Status (1)

Country Link
JP (1) JP5453871B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6451483B2 (en) 2015-05-11 2019-01-16 富士通株式会社 Predictive detection program, apparatus, and method
CN104836815B (en) * 2015-06-01 2018-07-20 广东电网有限责任公司信息中心 A kind of security incident retrogressive method and system based on log analysis function
CN110728527A (en) * 2019-08-22 2020-01-24 熵易科技有限公司 Device and method for processing event influence products in traceability system and storage device
CN115756328A (en) * 2022-11-22 2023-03-07 合肥市芯海电子科技有限公司 Log obtaining method and device, electronic equipment and memory

Also Published As

Publication number Publication date
JP2010231568A (en) 2010-10-14

Similar Documents

Publication Publication Date Title
US12450351B2 (en) Method of malware detection and system thereof
JP6919569B2 (en) Log analysis systems, methods, and recording media
JP6260130B2 (en) Job delay detection method, information processing apparatus, and program
KR101990598B1 (en) Method and device for recommending solution based on user operation behavior
US9027037B2 (en) Information output device, method, and recording medium for outputting notification information corresponding to a state of a computer
US11500847B2 (en) System and method for real-time forensic instrumentation
KR101266930B1 (en) A visualization system for Forensics audit data
JP2016533564A (en) An event model that correlates the state of system components
CN109815697B (en) False positive behavior processing method and device
EP4207713A1 (en) Method and system for event based, privacy aware capturing of partial screen changes for devices with restricted resources
JP5453871B2 (en) Event determination device, event determination program, and event determination method
WO2017104119A1 (en) Log analysis system, method, and program
CN110012000B (en) Command detection method and device, computer equipment and storage medium
CN108090352B (en) Detection system and detection method
CN101414328A (en) Apparatus and method for exuviations of file
CN114036507A (en) Method, device, electronic equipment and medium for acquiring dangerous instructions
US12124353B2 (en) Operation logs acquiring device, operation logs acquiring method, and operation logs acquiring program
US12242609B2 (en) Exact restoration of a computing system to the state prior to infection
JP6497268B2 (en) Management program, management apparatus and management method
JP7616349B2 (en) Activity trace extraction device, activity trace extraction method, and activity trace extraction program
JP7568056B2 (en) Activity trace extraction device, activity trace extraction method, and activity trace extraction program
US20250045385A1 (en) System and method for terminating ransomware based on detection of anomalous data
CN112699086A (en) File operation monitoring method and device based on Windows system
CN117978435A (en) Data security detection method and device, computer equipment and storage medium
CN114610577A (en) Target resource locking method, device, equipment and medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20111205

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130717

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130723

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130924

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131210

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131223

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees